vpn site-to-site site-to-client共存配置问题

我公司原用cisco2811路由器做VPN，模式是lan-to-lan，各分公司客户端使用路由器，无固定IP（ADSL拨号），使用一直正常。现需在2811上增加vpn client连接功能。但连接总有问题。
1、        原lan-to-lan配置
6 }8 b7 u1 p& E  _+ T状态：lan-to-lan使用正常

crypto isakmp policy 1
encr 3des
authentication pre-share
!
1 n; g" q6 x0 F# N) i* |crypto isakmp policy 3
- j5 n  h. a9 B authentication pre-share
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
! V+ K+ Z( t9 s; n* \' v8 Lcrypto ipsec transform-set VPN esp-des esp-md5-hmac
$ ]$ r0 a# M; {" m1 q4 I( f- g!
; @7 p$ Y  C8 M8 ^* a1 {& y' dcrypto dynamic-map DYNMAP 1
+ {5 [' q* H1 n2 r8 n set transform-set VPN
% [# G4 s8 ]* Z# p4 f match address 102
!
crypto map CMAP 60000 ipsec-isakmp dynamic DYNMAP

- P3 h: N( n: S' b/ }' Paccess-list 102 remark VPN_ACL IPSec Rule
5 D9 y- E* @$ X! l+ m; J7 maccess-list 102 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255
2、        修改配置1
% w0 ], P% @5 w0 ^* k8 ]9 z- C$ q状态：cisco vpn client 连接正常，可以ping通内网，但原lan-to-lan不通。

crypto isakmp policy 1
; I! d$ n" A# J+ ^1 J encr 3des
7 W% t: M) _% _) t authentication pre-share
group 2 新增
9 N$ g4 B, o; A1 W  B: `5 v; I* V!
crypto isakmp policy 3
authentication pre-share
/ O2 O6 ?' a# B+ T# q. z! @  G# Ucrypto isakmp key 123456 address 0.0.0.0 0.0.0.0
: ~) U/ X. z, Y" |7 s, n/ i!
Crypto isakmp client configuration group test 新增
$ C" \- a. b) j6 YKey test-1234
Pool p1
1 I8 \3 s# }* Q3 fNetmask 255.255.255.0
9 L  q, s) N8 M% J6 ^!
  M8 v& O# ]' O3 x! X4 i% Kcrypto ipsec transform-set VPN esp-des esp-md5-hmac
crypto ipsec transform-set tran-hh esp-3des esp-md5-hmac 新增
!
crypto dynamic-map DYNMAP 1
set transform-set VPN
match address 102
8 t: `+ g! t$ \0 R1 [!
Crypto dynamic-map dy-hh 1 新增
Set transform-set tran-hh
3 K+ _8 o" V  M$ \7 a7 U) |+ {" J" s5 FReverse-route
) s3 ?4 \3 [& X7 Z!
Crypto map CMAP isakmp authorization list test 新增
Crypto map CMAP client configuration address respond
Crypto map CMAP 1 ipsec-isakmp dynamic dy-hh
1 Y3 ]' l# U: ecrypto map CMAP 60000 ipsec-isakmp dynamic DYNMAP

ip local pool p1 172.19.200.10 172.19.200.100
2 c1 w, {, B3 ?0 J1 p; Uaccess-list 102 remark VPN_ACL IPSec Rule
& V, X( _/ M8 f3 p1 F" r5 F; y% Iaccess-list 102 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255

- \+ L" E, P1 V) T; g
5 ^8 ^. M& `, [5 A3、        修改配置2
状态：原lan-to-lan正常，Cisco vpn client 连接通过，在路由器上show cry ipsec sa，也正确，但client客户端不能ping通内网，也就是说虽连接了，但相互网络不通。
1 D' Y7 d0 F" X8 Qcrypto isakmp policy 3
encr 3des
+ Z9 e" E" l% f, Q authentication pre-share
( D% n( ^# }/ u group 2
!
Crypto isakmp policy 10
Encr 3des
Authentication pre-share
) n4 z7 M4 l. V* {% H!
% Q% C; S. q. h% u$ _. V9 |' Fcrypto isakmp key 123456 address 0.0.0.0 0.0.0.0
  r' n* n& @! B' [, w5 _9 f!
9 L3 [* h! j3 z; x  wCrypto isakmp client configuration group test
3 W9 l, o' e! `0 }3 |" I& y7 q5 EKey test-1234
7 f+ T4 y9 G9 ~$ f  [8 W- {Pool p1
Netmask 255.255.255.0
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
crypto ipsec transform-set tran-hh esp-3des esp-md5-hmac
!
crypto dynamic-map DYNMAP 1 无法删除，不知如何删除，还在
set transform-set VPN
5 P8 f' v) B( s0 X7 ~; S; v& R match address 102
!
/ x% y5 c- g0 [1 @! W- _Crypto dynamic-map dy-hh 10
7 W1 n- A9 l" { Set transform-set tran-hh
Reverse-route
, N3 d: ^3 V& H3 p1 I0 b: y. hCrypto dynamic-map site 1
set transform-set VPN
9 `7 r1 y& J6 n3 r4 H& M- { match address 102

% Z0 O0 l3 l/ {4 O8 W!
4 u& i5 Z: y8 ^, [. T' uCrypto map CMAP isakmp authorization list test
Crypto map CMAP client configuration address respond
Crypto map CMAP 1 ipsec-isakmp dynamic site
Crypto map CMAP 10 ipsec-isakmp dynamic dy-hh
crypto map CMAP 60000 ipsec-isakmp dynamic DYNMAP 无法删除，不知如何删除，还在

5 O% @: k& l% r+ y, Aip local pool p1 172.19.200.10 172.19.200.100

access-list 102 remark VPN_ACL IPSec Rule
access-list 102 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255

原的LAN TO LAN的IPSEC policy 不变，新一个针对IPSEC client to lan的POLICY。

今天我再试试，主要是lan-to-lan是group 1，client要求group 2,变换集也不同

各种情况都试了，但结果是两种动态加密图，那个放在前面那种方式就正常，另一种则不通，请高手解答，谢谢

乱七八糟的配置，而且不全。首先给你纠正一下lan to lan的配置，动态的lan to lan不需要写感兴趣流，也就是说感兴趣流是动态协商的。
match address 102 //
access-list 102 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255 //这两条没用。
9 [' }4 x$ R1 |5 l然后我们看一下你现阶段的地址问题：
4 A- d  @8 b5 Y7 a1 Zip local pool p1 172.19.200.10 172.19.200.100
* j! f' z& H! x# waccess-list 102 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255
2 k7 C! Q' f3 R. S# F' ]假设分支的一个地址是拨上来分配的地址是172.19.200.10吧，这个地址现在又满足你的感兴趣流，及第二条列表。你能告诉我当172.18.0.0网段去访问172.19.200.10的时候会走哪个VPN吗？？？
! u! a* F; U% H% Q+ E3 i第三点就是你配置不全的问题，接口下调用的map我没看到。但提醒你注意，静态的map调用一定要在前面，这样才可以保证两个VPN不会互相干扰。仔细想想！
! D- x& [' R+ R( f; b5 E0 g- p第四点是关键，中心端对于无固定IP的拨号用户要启用tunnel split技术，及隧道分割。这样才可以保证你的分支端同一路由器上的动态拨号VPN用户和lan to lan用户都不受影响，具体技术就不解释了去cisco网上查吧
最后，这种动态VPN如果两边都是cisco的设备强烈建议你用ezvpn技术。
还有配置乱啊！！！看的我都累眼睛！

老师批评的很中肯，配置没贴全，Cisco路由器vpn配置是有许多概念不清，配置不全，lan-to-lan客户端是家用型华为路由器（动态IP），有10几个，都在正常使用，dhcp设的为172.19.xx.xx，所以访问列表如102所设，172.19.200是借用其中之一段，做client地址池。客户端lan和client都是动态IP。如下配置lan-to-lan正常，client也可拨通，就是client端，无法ping通内网，show cry ipsec sa 有receive error包。
, l0 d9 w; R$ [: l8 @crypto isakmp policy 3
8 S) b! [) D/ W2 D* |/ J' _1 [( ]6 Gencr 3des
authentication pre-share
group 2
!
Crypto isakmp policy 10
! t4 d# n4 N6 R$ P. i/ E6 \Encr 3des
, `5 Q$ y& j7 s& DAuthentication pre-share
) |# _# F. L8 a5 X$ r) ?0 E1 y!
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
Crypto isakmp client configuration group test
& }( Y: ~! F: _, ]5 Q2 fKey test-1234
- v2 x$ Y7 |: z- B5 UPool p1
Netmask 255.255.255.0
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
. N6 H. @/ z+ ?# U. r( z, Ecrypto ipsec transform-set tran-hh esp-3des esp-md5-hmac
$ L0 k3 D* Z2 V2 h!
Crypto dynamic-map dy-hh 10
Set transform-set tran-hh
. S' q$ Q: d$ n' i& R- m' WReverse-route
$ a1 T0 I5 y+ V* Y！
) R- I/ \. K# H2 ]' \Crypto dynamic-map site 1
set transform-set VPN
4 W+ [" E% m# M5 a" umatch address 102
- V, J; {& N9 q
!
: b% b% ~1 r4 m6 o" YCrypto map CMAP isakmp authorization list test
Crypto map CMAP client configuration address respond
Crypto map CMAP 1 ipsec-isakmp dynamic site
9 d  c" b) h6 I1 S: |2 uCrypto map CMAP 10 ipsec-isakmp dynamic dy-hh

) E1 s  R& a  b6 Z$ ainterface FastEthernet0/0                        
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$ES_LAN$$FW_INSIDE$                                                                          
ip address 172.18.1.8 255.255.255.0                                    
1 X4 |3 q3 B" K( ?4 n- N0 L  I ip access-group 100 in                       
no ip redirects               
- G! T2 [6 W0 S9 V9 f- U2 _9 U no ip unreachables                  
no ip proxy-arp               
ip nat inside              
+ J; l( M; q6 } ip virtual-reassembly                     
ip route-cache flow                    
ip policy route-map RMAP2                          
duplex auto            
& k* G, s5 I" M1 ?2 |7 O speed auto           
) A! V2 {& U. z' M no mop enabled               
; I9 a- |- E7 D% s$ b) {5 a+ C!
1 o6 F! n% g0 A! l8 @4 Qinterface FastEthernet0/1                        
. z# K/ T% a0 w6 d0 A& g3 Z- ] description $ES_WAN$$FW_OUTSIDE$                                 
ip address xx.xx.xx.xx xx.xx.xx.xx
ip access-group 101 in                       
ip verify unicast reverse-path                              
/ j% N) }) \$ d( D9 Q0 G  i no ip redirects               
* t5 e  ^$ I* l1 k- p6 ^  m no ip unreachables                  
( m0 l: W0 l: r no ip proxy-arp               
2 u* I1 m+ Z! j+ x' i; [0 k$ c ip nat outside               
ip inspect DEFAULT100 out                          
8 @$ ~# _5 |. J% P3 |  f, p ip virtual-reassembly                     
1 U+ S8 e- Y9 a' R# N: G/ J8 Y/ x ip route-cache flow                    
' J. `# d9 p* D4 E; j1 v. w duplex auto            
% x. h+ d5 y: P speed auto           
no mop enabled               
! f; q+ L2 i0 Y( {; o# U" k) V crypto map CMAP     

!
ip classless            
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx
- r9 }* S- u5 ]: J" B% j  Xip route 172.18.0.0 255.255.255.0 172.18.1.1      
# _+ n$ `% V+ r' a# f! F9 V           
; A# j" ^* |4 _0 t1 t4 Y

! a, y# B4 A- l5 _+ E  rip local pool p1 172.19.200.10 172.19.200.100
/ h% G: s7 x+ E- w+ |
access-list 102 remark VPN_ACL IPSec Rule
access-list 102 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255

自己顶一下，等待sky777777

再顶

好可怜啊,可惜我不会,我也帮你顶一下.

要单配很简单实现，可能没人尝试过吧